陈洪磊：论公司董事的数据安全保障义务｜前沿

【摘要】在数字经济时代，公司数据安全已经成为影响公司利益和公司可持续发展的重要因素之一。由位于公司治理中心位置的董事们负担数据安全保障义务，可以最大限度地降低数据安全风险的治理成本。然而，我国数据治理体系呈现组织法逻辑的缺失、负担数据安全保障义务的主体不明以及对应责任的模糊，这导致我国并未续造出追究董事数据安全保障责任的司法与执法经验，难以实现数据安全风险的终局性消解。观察域外经验发现，董事对公司数据安全负有保障义务已成为数据治理的共识，这对我国具有重要的启示意义。首先，董事数据安全保障义务衍生于董事的信义义务，包括建置数据安全体系的义务、保障体系有效运行的义务、补救的义务、信息披露的义务以及推动公司建立匹配数据安全要求的董事会结构的义务，而且董事的数据安全保障义务与公司的数据安全保障义务并不等同；其次，对董事数据安全保障义务的审查应当配置较为严格的且体现差异的审查标准；最后，采纳网络安全保险以及董事责任保险机制，在鼓励董事积极探索数据利用新模式与防范数据安全风险之间寻求平衡。

【关键词】 数据安全；董事义务；安全保障义务；数据治理

在数字经济时代，数据已成为土地、资本、技术、管理之后的又一关键生产要素。而公司是将数据转换为价值的主要组织形式，未能保障公司数据安全将严重损害公司利益，影响数字经济的高质量发展。“保障数据安全，关键是要落实开展数据活动的组织、个人的主体责任。”其中，公司作为组织体，其对于保障数据安全事项的执行最终都要归结到公司机构身上。然而，我国立法者和学者多强调数据处理组织的数据安全保障义务，欠缺对组织中个人义务与责任的规范，而且裁判者也未续造出追究公司中个人数据安全保障责任的司法与执法经验。但要求董事负有数据安全保障义务已成为比较法上数据治理的共同着力点。那么，公司中的个人特别是董事，是否应当对公司数据安全负有保障义务？如果答案是肯定的，则董事应当负担怎样的义务，承担怎样的责任？本文拟对上述问题予以探讨。

公司数据安全要求与传统的环境保护等要求相比具有明显的特殊性，这些特殊性使得数据安全对公司的重要性凸显。位于公司中心位置的董事会对保障公司数据安全发挥着关键作用，要求董事承担数据安全保障义务是董事信义义务的应有之义。

（一）公司数据安全对公司的重要性

公司数据是指公司在生产经营过程中形成的或合法获取、持有的数据，既包括公司基于自身业务产生或创造的数据，也包括公司通过流通、交易、转让等方式获得的数据。 从生产要素角度观察，数据是一种“将现有生产要素进一步联系起来的桥梁型生产要素”，目的是促进土地、资本、技术、管理等现有生产要素之间形成更为密切的交互关系，激发既有生产要素的价值活力。从数据创造价值的方式角度观察，数据经由创新使其本身的首要价值在被发掘后仍能不断释放价值。无论是对各种生产要素的盘活，还是对数据本身价值的挖掘，均需要以数据安全为基础，否则就难言对企业数据的充分利用及其生产要素的价值化实现，难言数尽其用，这使得数据安全成为公司不得不关注的核心话题。

一方面，数据是最有价值的公司资源，一旦发生数据安全事件，必将首先损害公司的自身利益。除了调查、通知和应对数据安全事件所产生的成本之外，受负面宣传、即将发生的诉讼威胁以及拉低股东和消费者的信任度等因素的影响，公司还会间接产生巨大的声誉成本。而且，由于数据不同于有形的物，不可能被某一特定主体独占，所以，公司对其直接支配力较弱；数据也不同于无形的智力成果和权利，其只有在流转中才能创造价值。数据的无形性、非排他性与动态性使其表现出较高程度的易受侵害性，由此对公司利益的损害也呈现易发性。例如，2018年3月，Facebook因被某分析公司窃取了5000万用户的个人信息而导致股票价格大幅下挫，市场价值蒸发370亿美元。

另一方面，正如习近平总书记所言，“只有积极承担社会责任的企业才是最有竞争力和生命力的企业。”保障公司数据安全可以强化公司社会责任，服务于公司的可持续发展。公司数据往往既包括公司自主经营业务中产生的交易记录、公司创意、员工和客户的敏感个人数据等经营信息，也包括原料配方、样式品种等技术信息，还包括对相关数据通过算法进行加工挖掘使之生成的具有交换价值与技术互通可行性的数据。因此，数据来源的多样性与部分数据的敏感性使得数据安全事件的发生必然会波及多方利益主体，而且极可能对每个毫无还手之力的数据主体的人身和财产利益造成不可逆的损害。如果说传统的环境损害等风险对公司而言是“损人利己”，公司可以以此获得短期收益，那么，数据安全风险对公司而言就是“损人也不利己”，一旦发生将会严重影响公司的良性、可持续发展。

（二）董事对保障公司数据安全的重要性

一方面，董事是公司数据安全风险的开启者。 公司作为一种实现集体行动利益的手段，往往选择通过授权某一个中心机构进行决策的“权威机制”来汇总支持者的偏好。在对多方公司内部主体的比较与拣选中，董事会成为《公司法》（2023年修订）倾向选择的中心决策机构。公司所有的信息片段被传输到董事会，立法者授权董事会作出对整个组织有约束力的决策并允许其向其他组织成员传输该决策信息。在这个过程中，公司意思被董事会控制并得以形成，董事会成员也就具有了在传输信息时较公司内部其他主体更多的修改信息、增加信息违法要素的便利，从而可以操纵公司从事数据违法行为。例如，在“上海晟品网络科技有限公司、侯某强等非法获取计算机信息系统数据罪案”中，公司董事张某禹便与首席技术官等高管共谋，决定采用技术手段抓取被害单位字节跳动服务器中存储的视频数据，这一数据违法行为造成了被害单位2万元的损失。

另一方面，董事是公司数据安全风险的控制者。 “数据泄露等数据安全事件是一个没有被认真关注就不会消失的问题，但董事会在公司中的独特地位可以帮助安排公司事务，从而最大限度地降低这些风险。”一则，董事会与公司内部其他主体相比具有信息优势，是公司接收和传输信息的中心，其不仅可以通过建置公司信息传输机制及时且全面地了解相关信息，统筹和调动公司的人力、物力来采取补救措施，而且可以监督公司内部人的数据不法行为，具有较强的控制公司数据安全风险的能力。由此可见，由董事负担数据安全保障义务的制度设计对于防范数据安全风险而言成本更低、效率更高，符合经济学中所强调的“负责任的公司董事原则”，即通过让董事承担最小成本规避者的责任来促进公共福利最大化。二则，对于始终处于变动中的大数据时代而言，数据法律永远落后于快速更迭的数据发展实践，法律漏洞不可避免。借助董事会的理性决策可以“诱使他们成为法律实施的促进力量，主动推动法律的实施”，从而指引公司灵活、全面且及时地化解各种数据安全风险，弥补数据法律常态化的法律漏洞。三则，由董事负担数据安全保障义务体现了对法益损害的事前预防而非对法益损害的事后救济，是从应对型法治到预防型法治转型的有益尝试。

（三）与董事信义义务的契合

由忠实义务和勤勉义务组成的董事信义义务是董事会经营决策权力的衡平工具与约束机制。 无论是《公司法》第180条第1款“避免与公司利益冲突”的董事忠实义务，还是本条第2款“为公司最大利益”的董事勤勉义务，立法者均以“公司利益”为主轴架构董事的行为准则。“公司利益”源于股东、债权人、消费者等公司契约群体的整体利益，成为承载全体股东和利益相关者长期获益的重要依托。在公司数据安全情境中，一则，董事最具开启或持续特定危险的便利条件，其可以避免对公司利益的损害；二则，董事最具能力对危险采取必要的具有期待可能性的防范和应对措施，其可以实现对公司利益的维护；三则，董事可以运用专业知识协调公司数据的安全性和营利性之间的“倒Ｕ型”关系，其可以促使公司利益的最大化。因此，作为公司业务决策与执行机关成员的董事对公司数据安全负有保障义务，是其履行忠实义务和勤勉义务的必然要求和应有之义。

公司数据安全事件的损害主体主要包括第三人、公司和股东。在前者语境中，《公司法》第191条以董事存在故意或者重大过失为条件缩短了向过错董事的求偿链条，实现了公司层面的数据安全保障义务向董事层面的信义义务的直接过渡和嵌入，即董事信义义务的对象范围实现了从公司向第三人的扩张。在后两者语境中，如果公司因发生数据安全事件而造成的公司和股东的损害可归因于董事对信义义务的违反，那么，过错董事应当向公司和股东承担数据安全保障责任。在我国商业实践中，已有不少公司将保障公司数据安全列入董事职责范围，例如，中国银行（601988）在其年度社会责任报告中写道：“本行董事长是网络安全的第一责任人”。

在我国，对董事数据安全保障义务的规定并非表现为规范上的“荒地”，而是充满了本土化的治理特色，但也面临规范供给局促的困境，这对企业数据治理产生了诸多消极影响。

（一）我国董事数据安全保障义务的规范缺失

一则，我国董事数据安全保障义务呈现组织法逻辑上的缺失。 行为法诸如侵权法、合同法等是调整主体与外部其他主体间行为的规则；组织法如公司法则关注主体内部的法律关系，是行为法逻辑实现的内部运行基础。目前立法者规制的对象一般为数据处理者（主要为公司）本身，例如，《数据安全法》第四章“数据安全保护义务”将义务主体限定为开展数据处理活动的组织，行为法的规范逻辑明显。虽然立法者要求“重要数据的处理者”“处理个人信息达到国家网信部门规定数量的个人信息处理者”以及“网络运营者”应当明确相关负责人和管理机构（《个人信息保护法》第52条、《数据安全法》第27条），这表现出一定的组织法规范逻辑，但这一要求不仅未涵盖所有的数据公司，而且相关机构没有明确的组织法定位，组织义务未能向下分解为组织中内部人的具体义务，数据治理的逻辑链条出现断裂。

二则，我国董事数据安全保障义务呈现承担主体上的模糊。 在数据相关法律中，只有《个人信息保护法》第66条第2款为未履行个人信息保护义务的董事设置了一定期限的从业限制的行政处罚，其余法律规范均未明确地将董事作为保障公司数据安全的义务主体。而且，无论是《数据安全法》中的“数据安全负责人和管理机构”，还是《个人信息保护法》中的“个人信息保护负责人”“由外部成员组成的独立机构”，抑或是这些法律在“法律责任”章中规定的“直接负责的主管人员和其他直接责任人员”，均未能实现公司数据安全机构和人员设置与《公司法》所规定的公司治理结构之间的衔接契合，欠缺对董事作为公司数据安全保障义务主体的直接规定。

三则，我国董事数据安全保障义务呈现对应责任上的含混。 法律责任一般被认为是由于违反第一性义务而引起的第二性义务，第一性义务的缺失必然会带来第二性义务的模糊。《数据安全法》《个人信息保护法》等“法律责任”章中的绝大多数条款均是对行政责任的规定，并且呈现为企业与相关责任人员的“双罚制”模式。行政责任的规范看似完整，但缺乏数据安全保障义务的第一性义务的支撑，这对追究董事数据安全保障责任平添了困扰。同时，上述法律亦未明确相关责任人员的民事责任，例如，《数据安全法》第52条只是规定，违反本法规定，给他人造成损害的，依法承担民事责任。

（二） 规范缺失带来的消极影响

一则，组织法逻辑上的缺失会导致数据安全风险难以实现终局性的消解。 立法者对公司意思由处于生产经营一线的董事会形成并作出的事实的忽略，不仅存在对公司数据安全风险的源头性规制的欠缺，而且难以实现对公司数据安全风险的有效预防。受限于公司独立人格与相对性原则，行为法无法在公司数据安全事件发生后为公司内部人特别是董事的责任承担与分配提供依据，这会导致作为拟制的人的公司成为最终风险的承担者。但从理论上讲，公司责任是替代责任，公司行为需经由董事行为才得以彰显于外。如果不实现行为法与组织法之间的贯通，那么，数据安全风险就不可能得到根本性的消解，最终使得无辜的股东成为“替罪的羔羊”。

二则，具体主体上的缺失会导致公司数据安全职责配置上的混乱。 由于公司包括数据公司需要遵循《公司法》给定的公司组织机构设置方案展开公司的运营与管理，所以数据法所设置的数据安全机构与人员均应当融入既有的公司组织机构之中，否则不仅极易导致公司相关机构之间的相互推诿或职权争夺，而且统筹协调机关的缺乏也将造成公司层面的数据安全保障义务向公司内部具体人员进行再分配的阻碍，使得立法者试图穿透行为法逻辑而关注公司内部治理的条款设计成为无法落地的“空中楼阁”。

三则，对应责任上的缺失会导致难以形成对行为人的有效震慑。 一方面，行政责任的确定需要明确的董事数据安全保障义务的指引，但“重责任轻义务”的立法模式不可避免地会造成归责上的困难。另一方面，民事责任的缺位同样带来了不少的逻辑悖论：首先，董事的不合法行为侵害的是公司利益以及数据来源者权益，两者均“应当属于民事权利，而非一种行政性的权利”；其次，行政责任具有被动滞后性，政府的管理显然不能代替权利人对自身利益的保护，这使得行政责任欠缺对受害人救济的及时性；最后，行政责任的罚款数额最多为一百万元，这与公司因数据安全事件所造成的公司价值损失相比可谓杯水车薪，难以完成对公司、股东以及第三人损失的填平与对违法行为的有效预防。

《公司法》应为新事物留有空间，这不仅是为了促进新技术的发展，更是为了延续自身存在的价值。面对我国公司董事数据安全保障义务规范逻辑上的组织法缺位、民事责任规定的缺失以及行政责任规定的模糊等弊端，求助于《公司法》中的董事义务条款是一条可行的路径。然而，实践中，公司纠纷裁判者并未续造出追究公司董事违反数据安全保障义务民事责任的司法经验，公司股东、受公司数据泄漏等数据安全事件影响的数据来源者等权利主体也并未以诉讼形式积极追究失职董事的民事责任，执法者追究失职董事行政责任的行动也欠缺热情。概言之，虽然我国对董事数据安全保障义务的规定并未表现为规范上的“荒地”，但规范上的“贫瘠”也难以带来实践中的“生根”“开花”，而这需要公司法规范的精细化设计，以激活行政责任条款，补足民事责任规定的欠缺。

在域外，立法者、司法者和执法者均已关注到董事负有数据安全保障义务的必要性。考察域外立法与相关判例不仅可以为我国在美国等其他国家经营或上市的公司提供制度上的连接点，而且可以为我们拓展制度资源，对我国形塑与夯实董事的数据安全保障义务极富启发意义。

（一）美国法从董事的全身而退到原告的初步胜利

2014年2月25日，WWC公司股东对其董事提起了派生诉讼，这标志着美国法追责董事违反数据安全保障义务实践的开始。但受制于法院的保守态度，股东在此类诉讼中追责董事的行动并非一帆风顺，并以2019年的“Yahoo案”为分水岭，呈现为两个阶段。

1. 2019年之前：董事的全身而退

在“WWC案”中，WWC公司在2008年至2010年间发生了三次数据泄露，导致60万名客户的个人和财务信息被黑客窃取。对此，原告股东指控公司董事未能履行监督职责，理由是公司缺乏足够完善的信息安全政策和程序，如防火墙；公司服务器操作系统过于陈旧，以至于在黑客入侵前的三年多时间里，供应商已经停止为此操作系统提供安全更新支持；软件配置不当导致支付卡信息以清晰可读的文本存储。最终，法院驳回了原告的诉讼请求，理由是拒绝原告提起派生诉讼的董事会决策受到商业判断规则的保护，法院支持董事进行的哪怕是粗略的调查，这对被告而言是一个十分宽松的审查标准。“Target案”发生在2013年，这一年，Target公司遭遇了数据泄露，导致超过7000万用户的信用卡和其他信息被盗，这给公司造成了极其严重的负面影响。公司股东认为董事们违反了信义义务，具体表现为董事会没有及时更新销售系统，未花费时间和精力来开发数据安全控制系统或实施行业内的最佳做法，而且允许公司隐瞒数据泄露的全部情况。这导致公司没有防火墙或其他常见的保护措施来阻止黑客的入侵。最终，法院在一份未经分析的两页纸的简短判决中认为，股东对董事提起派生诉讼不符合公司的最佳利益，进而认为公司驳回原告的请求合法。在“Home Depot案”中，股东同样是因公司发生数据泄漏损失而提起派生诉讼，其对董事们的指控主要基于两点：一是董事会在解散基础设施委员会后，未能指派其他人来监督公司的数据安全；二是董事会未能立即制定和实施计划来纠正公司数据安全方面的缺陷。公司在数据泄漏时，只有25%的Home Depot商店安装了加密系统，公司能够在六天的时间里为其余75%的商店完成安装，但董事们并没有选择这样做。法院根据案件事实驳回了第一点指控。对于第二点指控，法院认为，由于原告并没有说董事们没有制定计划，而只是说董事们的计划不够好，所以虽然法院承认董事们的计划并不完美，实施得可能太慢，但还是认为不能仅因董事的行动不令人满意就推断董事有恶意。这表明了法院所采取的一种形式重于实质的司法审查逻辑。

在上述案件中，美国法院选择固守商业判断规则，认为董事只需为其恶意或重大过失的行为负责，而不对董事决策内容的合理性进行实质审查。这一裁判思路上的路径依赖成为法院拒绝追究董事违反数据安全保障义务责任的原因。虽然上述派生诉讼均被法院驳回，但董事被指控的事实本身就说明， 董事因未能保障公司数据安全而承担责任的风险越来越大 。一方面，每个案件的结果都取决于案件事实。在一个数据安全已经成为口号的世界里，即使这些案件均被驳回，也不意味着董事们会像上述案件中的董事那样可以免除个人责任。另一方面，由于股东派生诉讼具有表达价值，其可以确认公司治理环境中的理想规范，所以除了原告要求被告董事赔偿的愿望之外，这些诉讼还传达了一些对董事和整个社会不利的信息：董事们往往会被指责为领导不力或者不称职，即使董事个人责任的威胁很小，但声誉后果、董事会改选风险和数据安全事件发生后消费者的反应往往会很严重。

2. 2019年之后：原告的初步胜利

在上述案件中，股东没有成功地让董事对公司数据泄露负责，但这种情况在2019年的第一个月发生了变化，Yahoo公司的董事同意支付2900万美元，以解决股东对他们在2013年至2016年间的一系列网络攻击中处理客户数据时违反信义义务的指控。本案的基本案情是，2016年9月22日，Yahoo宣布其在2014年发生了严重的数据泄露事件，该事件影响了多达5亿的用户。其后，公司又披露了其在2013年所遭遇的更大规模的数据泄露事件，此次数据泄漏涉及10亿用户。原告对董事们的指控涉及两个方面：一是根据公司披露的信息，至少部分员工几乎实时了解了2014年的数据泄露事件，但被告董事们没有披露而是试图掩盖，而且公司甚至没有发现2013年的数据泄漏情况，这引发了人们对公司内部监控和报告流程是否充分的质疑。二是董事们对公司数据安全承诺的履行存在懈怠，首席执行官一再拒绝专家提出的投入有意义的资源来保障公司数据安全的建议，并认为额外的保护会使用户停用本公司的产品。虽然“Yahoo案”并非以法院判决形式结案，但和解协议的达成标志着股东首次在追究董事数据安全保障责任的派生诉讼中获得金钱赔偿。无独有偶，在2019年底，Equifax公司数据泄露相关证券诉讼以1.49亿美元和解。本案中原告股东提出的一个重要理由是，在公司发生数据泄漏之前，董事们无视了数个危险信号，包括Apache软件以及美国国土安全部向其发送的数次安全漏洞警告与软件升级提示。

不仅在司法实践中，在2022年的执法实践中，美国联邦贸易委员会（FTC）也在“Drizly案”中首次要求董事兼首席执行官雷拉斯对公司数据泄漏承担责任，即如果雷拉斯在未来十年内在收集和处理超过25000人数据的公司中担任多数股东、首席执行官或者主管数据安全保障事务的董事，那么，他必须在加入该公司后180天内实施信息安全计划。事实上，就是否追究雷拉斯的个人责任FTC内部曾有过讨论，有委员认为，由于大公司的董事们任何一天都有数百个问题和众多监管义务需要应对，他们并非对所有的公司事务均有直接的了解，所以，应当让董事们自行决定是否关注数据安全。而大多数委员认为，“管理一家大公司不能成为将法律责任置于次要地位而偏向其他优先事项的借口，FTC在确保公司董事权衡其法律义务方面发挥着作用……保护公司数据安全不 是董事可随意选择的而是优先的事项……追究董事的个人责任，可以进一步确保公司及其董事更有动力履行他们的法律义务。”由此可见，面对数据安全风险对公司利益威胁的严重性持续提升，无论是执法和司法机关，还是公司、股东等个人，无不试图通过调整和扩展董事义务来引 导董事对公司数据安全的关注，这将成为保障公司数据安全的新兴工具。

（二）美国之外董事数据安全保障义务的共识与样态